Olimpo Informatico

[lukeskyd]

Salve a tutti ho bisogno di aiuto.. ho preso non uno ma due virus e forse un terzo..

Partiamo dal primo ho preso gael 6xxx e sembra che bitdefender l'abbia levato.. però c'è un'altra variante pe_tenga.a e spero che me lo levi con una nuova passata.. Poi c'è anche bagle in una dir D:\WINDOWS\system32\drivers\downld\xxxxxx.exe
e non riesco a levarlo e non è finita c'è anche mail virus con l'icona delle labbra rosse in /documents and settings/username/impostazioni locali/temp
che riappare continuamente nonostante li ho killati da process explorer e cancellati da totalcommander..
Qualcuno mi aiuta.. questi due appaiono in coppia anche..doppio guaio grz
Ho postato la scansione con sistem scan..

[URL="http://www.freefilehosting.net/files/3f2c0"]08_04_2008_22_40_report.zip[/URL]
link

[bdoriano]

Ciao lukeskyd,

prendi nota delle operazioni seguenti, che dovrai fare disconnesso da internet.

• Disinstalla NOD32, Spy Emergency 2008, WinVNC
  
• Avvia nuovamente SystemScan
  
• metti il segno di spunta a I have read and agree. Please let me free to proceed e clicca su Proceed
  
  
• clicca su Removal Script
  
  
• Nel riquadro inserisci il seguente script:
  

  Codice:

  Drivers to unload: srosa Files to delete: D:\wtmb40.exe D:\wtmb5e.exe D:\wtmb59.exe D:\wtmb58.exe D:\wtmb64.exe D:\wtmb65.exe D:\WINDOWS\system32\drivers\hldrrr.exe D:\WINDOWS\system32\wintems.exe D:\WINDOWS\tasks\qsqxiy.job D:\WINDOWS\system32\drivers\srosa.sys d:\windows\system32\dskiwalk.exe Folders to delete: D:\WINDOWS\system32\drivers\downld registry keys to delete: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa

  
  e clicca Proceed with removal
  
  Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
  
• Reinstalla NOD32
  
• Aggiornalo e fagli fare una scansione completa
  
• Al termine dell'operazione, posta qui il contenuto del file C:\Avenger.txt con un log aggiornato di hijackthis.

[lukeskyd]

Purtroppo Systemscan non eseguiva lo script.. e ho trovato una versione modificata di avenger [wdqdwqd.exe] che me lo ha fatto,
posto il log

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 0


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\bqvidack

*******************

Script file located at: \??\D:\WINDOWS\lhylbamj.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at D:\Avenger

*******************

Beginning to process script file:



Registry key \Registry\Machine\System\CurrentControlSet\Services\srosa not found!
Unload of driver srosa failed!

Could not process line:
srosa
Status: 0xc0000034



File D:\WINDOWS\system32\drivers\hldrrr.exe not found!
Deletion of file D:\WINDOWS\system32\drivers\hldrrr.exe failed!

Could not process line:
D:\WINDOWS\system32\drivers\hldrrr.exe
Status: 0xc0000034



File D:\WINDOWS\system32\wintems.exe not found!
Deletion of file D:\WINDOWS\system32\wintems.exe failed!

Could not process line:
D:\WINDOWS\system32\wintems.exe
Status: 0xc0000034



File D:\WINDOWS\tasks\qsqxiy.job not found!
Deletion of file D:\WINDOWS\tasks\qsqxiy.job failed!

Could not process line:
D:\WINDOWS\tasks\qsqxiy.job
Status: 0xc0000034



File D:\WINDOWS\system32\drivers\srosa.sys not found!
Deletion of file D:\WINDOWS\system32\drivers\srosa.sys failed!

Could not process line:
D:\WINDOWS\system32\drivers\srosa.sys
Status: 0xc0000034



File d:\windows\system32\dskiwalk.exe not found!
Deletion of file d:\windows\system32\dskiwalk.exe failed!

Could not process line:
d:\windows\system32\dskiwalk.exe
Status: 0xc0000034

Folder D:\WINDOWS\system32\drivers\downld deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Il problema che il virus c'è ancora... Esce un messaggio Select file to crack e si mimetizza in un file della Creative CTDVDDET.exe che ho killato da process explorer e HiJackThis.exe non funziona..
Cosa mi consigli di fare?